Приложение N 3

к приказу Федерального

агентства по техническому

регулированию и метрологии

от 11.07.2019 г. N 1628

ПРАВИЛА

ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ

ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ

ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ

ПРАВОВЫМИ АКТАМИ

1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) в соответствии с ним нормативными правовыми актами и локальными актами оператора (далее - Правила), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Федеральном агентстве по техническому регулированию и метрологии (далее - Агентство) организовывается проведение плановых и внеплановых проверок условий обработки персональных данных (далее - проверки) на предмет соответствия Федеральному закону "О персональных данных", принятым в соответствии с ним нормативным правовым актом Агентства.

3. Проверки проводятся в Агентстве на основании ежегодного плана или на основании поступившего в Агентство письменного обращения о нарушениях правил обработки персональных данных (внеплановые проверки).

Ежегодный план проверок разрабатывается комиссией по организации обработки и защиты персональных данных Федерального агентства по техническому регулированию и метрологии для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом "О персональных данных" (далее - Комиссия).

4. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

5. Проверки проводятся Комиссией. В проведении проверки не может участвовать федеральный государственный гражданский служащий Агентства, прямо или косвенно заинтересованный в ее результатах.

6. Основанием для проведения внеплановой проверки является поступившее в Агентство письменное обращение субъекта персональных данных или его представителя (далее - заявитель) о нарушении правил обработки персональных данных.

7. Внеплановая проверка проводится Комиссией в течение пяти рабочих дней с момента поступления письменного обращения.

8. Срок проведения проверки не может превышать тридцати дней со дня принятия решения о ее проведении.

9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.

11. Комиссия в течение пяти рабочих дней со дня окончания проверки дает письменный ответ заявителю о результатах проверки.